このトピックでは、リスナーのアクセス制御を有効にする方法について説明します。 Classic Load Balancer (CLB) インスタンスの各リスナーのアクセス制御を有効にできます。 リスナーを作成するとき、または既存のリスナーのアクセス制御設定を変更するときに、アクセス制御を構成できます。
アクセス制御リスト (ACL)
ACLは、ホワイトリストまたはブラックリストとして機能します。 さまざまなリスナーにホワイトリストまたはブラックリストを設定できます。
ホワイトリスト: ACLのIPアドレスまたはCIDRブロックからのリクエストのみが転送されます。 ホワイトリストは、特定のIPアドレスからのリクエストのみを許可するシナリオに適用されます。
不適切に設定されたホワイトリストは、サービスの可用性に影響します。 リスナーにホワイトリストが設定されている場合、ホワイトリストに追加されたIPアドレスからのリクエストのみがリスナーによって転送されます。 ホワイトリストが設定されているが、IPアドレスがホワイトリストに追加されていない場合、リスナーはすべてのリクエストを転送します。
ブラックリスト: ACLで指定されたIPアドレスまたはCIDRブロックからのすべてのリクエストは拒否されます。 ブラックリストは、特定のIPアドレスからのアクセスをブロックするシナリオに適用されます。
ブラックリストがリスナーに設定されているが、IPアドレスがブラックリストに追加されていない場合、リスナーはすべてのリクエストを転送します。
制限事項
デフォルトでは、CLBリスナーは最大3つのACLに関連付けることができます。 リスナーACLはすべてのCLBリージョンでサポートされています。
IPv6インスタンスは、IPv6 ACLにのみ関連付けることができます。 IPv4インスタンスは、IPv4 ACLにのみ関連付けることができます。
同じリスナーに関連付けられているACLに追加されたIPエントリの総数は1,000を超えることはできません。
ACLは最大50個のリスナーに関連付けることができます。
同じリスナーに関連付けられているACLのIPエントリは一意である必要があります。
手順
次の図は、リスナーのACLを設定する方法を示しています。
ACLの作成
リスナーのアクセス制御を有効にする前に、ACLを作成する必要があります。
CLBコンソールにログインします。
上部のナビゲーションバーで、CLB インスタンスがデプロイされているリージョンを選択します。
左側のナビゲーションウィンドウで、 [アクセス制御] を選択します。
アクセス制御ページで、ACLの作成をクリックします。
[Create ACL] パネルでパラメーターを設定し、[Create] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
ACL名
ACLの名前を入力します。
リソースグループ
リソースグループを選択してください。
複数のアドレス /CIDRブロックと説明の追加
次の形式で1つ以上のエントリを入力します。
行ごとに1つのエントリを入力します。 Enterキーを押して新しい行を開始します。
エントリ内の説明からIPアドレスまたはCIDRブロックを区切るには、縦棒 (|) を使用します。 例:
192.168.1.0/24 | 説明
毎回に最大50のエントリを追加可能。
IPエントリの追加
ACLを作成した後、ACLにIPエントリを追加できます。 IPエントリには、IPアドレスまたはCIDRブロックを指定できます。
CLBコンソールにログインします。
上部のナビゲーションバーで、ACLが作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、CLB>概要を選択します。
管理するACLを見つけて、操作列で管理をクリックします。
IPエントリを追加します。
複数のエントリの追加 をクリックします。 [ACLエントリの追加] パネルで、複数のIPアドレスまたはCIDRブロックと説明を追加し、追加 をクリックします。
以下の点にご注意ください。
行ごとに1つのエントリを入力します。 Enterキーを押して新しい行を開始します。
縦棒 (|) を使用して、エントリ内のIPアドレスまたはCIDRブロックとコメントを区切ります。 この例では、192.168.1.0/24 | コメントが入力されます。
エントリの追加をクリックします。 [ACLエントリの追加] パネルで、[IPアドレス /CIDRブロック] および [備考] パラメーターを設定し、追加 をクリックします。
IPエントリを追加したら、必要に応じて次の操作を実行できます。
エントリ列で追加したIPアドレスまたはCIDRブロックを表示します。
IPエントリを削除します。 IPエントリを削除するには、削除するIPエントリを見つけて、[操作] 列の [削除] をクリックします。 IPエントリを選択して、リストの下の [削除] をクリックすることもできます。
アクセス制御の有効化
異なるリスナーにホワイトリストまたはブラックリストを設定して、ネットワークアクセスを制御できます。
CLBコンソールにログインします。
CLB インスタンスがデプロイされているリージョンを選択します。
アクセス制御を有効にするCLBインスタンスのIDをクリックします。
[リスナー] タブをクリックします。 [操作] 列で、 を選択します。
[アクセス制御の設定] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
アクセス制御
アクセス制御を有効にします。
ACLタイプ
ACLタイプを選択します。 有効な値:
ホワイトリスト: ACLをリスナーに関連付けると、リスナーはACLに追加されたIPアドレスまたはCIDRブロックからのリクエストのみを転送します。
不適切に設定されたホワイトリストは、サービスの可用性に影響します。 リスナーにホワイトリストが設定されている場合、ホワイトリストに追加されたIPアドレスからのリクエストのみがリスナーによって転送されます。 ホワイトリストが設定されているが、IPアドレスがホワイトリストに追加されていない場合、リスナーはすべてのリクエストを転送します。
ブラックリスト: ACLをリスナーに関連付けると、リスナーはACLに追加されたIPアドレスまたはCIDRブロックからのリクエストを拒否します。
ブラックリストがリスナーに設定されているが、IPアドレスがブラックリストに追加されていない場合、リスナーはすべてのリクエストを転送します。
ACL
ACLを選択します。
IPv6インスタンスは、IPv6 ACLにのみ関連付けることができます。 IPv4インスタンスは、IPv4 ACLにのみ関連付けることができます。
説明複数のIPエントリをコンマ (,) で区切ります。 各ACLに最大300のIPエントリを追加できます。 IPエントリは各ACL内で一意である必要があります。
アクセス制御の無効化
リスナーがアクセス制御を必要としなくなった場合は、リスナーのアクセス制御を無効にできます。
CLBコンソールにログインします。
CLB インスタンスがデプロイされているリージョンを選択します。
アクセス制御を無効にするCLBインスタンスのIDをクリックします。
インスタンスの詳細ページで、リスナータブをクリックします。
管理したいリスナーを見つけてを選択します。
アクセス制御の設定パネルで、アクセス制御を無効にしてOKをクリックします。